——引 言——
前不久�����,短視頻巨頭TikTok首席執(zhí)行官出席美國國會眾議院能源和商務(wù)委員會聽證會�,凸顯出數(shù)據(jù)安全成為中美兩國博弈間的重要性��。如果TikTok在中國,它會面臨什么樣的數(shù)據(jù)合規(guī)風(fēng)險呢?
數(shù)據(jù)被譽為“新時代的石油”�,是基礎(chǔ)性資源和戰(zhàn)略性資源�,也是重要生產(chǎn)力���。數(shù)據(jù)作為新型生產(chǎn)要素�,是數(shù)字化、網(wǎng)絡(luò)化����、智能化的基礎(chǔ),已快速融入生產(chǎn)、分配�����、流通����、消費和社會服務(wù)管理等各環(huán)節(jié),深刻改變著生產(chǎn)方式��、生活方式和社會治理方式。是發(fā)展數(shù)字經(jīng)濟的關(guān)鍵生產(chǎn)要素��,促進實體經(jīng)濟與虛擬經(jīng)濟融合的關(guān)鍵資源���,也是推進國家治理現(xiàn)代化的關(guān)鍵要素���。
目前在數(shù)據(jù)合規(guī)領(lǐng)域�,國家已經(jīng)形成了以《刑法》和《民法典》等法律為基礎(chǔ)��,以《網(wǎng)絡(luò)安全法》《個人信息保護法》《數(shù)據(jù)安全法》三部法律為核心,以網(wǎng)信部門以及各中央部門專門法規(guī)和規(guī)章為支持的系統(tǒng)化����、體系化監(jiān)管格局。
隨著相關(guān)細則的不斷更新��,企業(yè)數(shù)據(jù)合規(guī)的風(fēng)險也越來越大�����,本文簡要分析企業(yè)在數(shù)據(jù)收集��、數(shù)據(jù)使用以及數(shù)據(jù)存儲與刪除三階段的合規(guī)和法律風(fēng)險及相關(guān)責(zé)任���,并對企業(yè)在數(shù)據(jù)合規(guī)體系建設(shè)方面提出一點建議。
——探 討——
相關(guān)概念與定義
數(shù)據(jù)與信息
企業(yè)要做數(shù)據(jù)合規(guī)��,首先得了解什么是數(shù)據(jù)?數(shù)據(jù)與信息到底有什么區(qū)別���?
一般理解認(rèn)為數(shù)據(jù)僅僅是數(shù)字組合�����,這種理解并沒有觸及數(shù)據(jù)的本質(zhì)���。“數(shù)據(jù)(英語:data)又稱資料��,是通過觀測得到的數(shù)字性的特征或信息?���!边@是維基百科上對數(shù)據(jù)的定義。也有人認(rèn)為數(shù)據(jù)就是對客觀事實的描述或是我們通過觀察�����、實驗或計算得出的結(jié)果�����。
這些專業(yè)的解釋或許都有不同的視角,但也說明關(guān)于數(shù)據(jù)的概念目前還缺乏共識����,而企業(yè)數(shù)據(jù)合規(guī)需要依據(jù)法律定義作為標(biāo)準(zhǔn)��。
《數(shù)據(jù)安全法》第三條對于數(shù)據(jù)有以下定義:數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄���。
《個人信息保護法》第四條對個人信息的界定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息���,不包括匿名化處理后的信息���。
結(jié)合兩部法律關(guān)于數(shù)據(jù)與信息的定義����,從文本邏輯上理解,數(shù)據(jù)就是信息的載體���,數(shù)據(jù)可能是雜亂無序的����,只有數(shù)據(jù)中那些有用的內(nèi)容才能稱之為信息�����。
所以說數(shù)據(jù)雖然是信息化時代出現(xiàn)的概念����,但不是現(xiàn)代才有的事物�����,人類自誕生以來就已經(jīng)在用各種方式記錄數(shù)據(jù)����,從最早的結(jié)繩記事�����,到文字圖畫���,再到如今的數(shù)字?jǐn)?shù)據(jù)���。隨著電子傳感器的發(fā)展、數(shù)據(jù)數(shù)字化和計算機的發(fā)明��,現(xiàn)在世界上每年產(chǎn)生的數(shù)據(jù)量超越了以前千年的量級����。
企業(yè)要明白�����,數(shù)據(jù)合規(guī)關(guān)注不只是網(wǎng)絡(luò)領(lǐng)域的數(shù)字?jǐn)?shù)據(jù)��,像類似于用戶信息登記表、員工信息登記表�����,設(shè)計圖紙之類的非電子記錄信息同樣是數(shù)據(jù)合規(guī)關(guān)注的對象���。
重要數(shù)據(jù)��、核心數(shù)據(jù)���、一般數(shù)據(jù)
數(shù)據(jù)概念的外延如此之廣��,是不是企業(yè)要對每一條數(shù)據(jù)都有一樣的合規(guī)要求��?
并不是這樣的?!稊?shù)據(jù)安全法》第二十一條第一款規(guī)定:國家建立數(shù)據(jù)分類分級保護制度����,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度���,以及一旦遭到篡改����、破壞���、泄露或者非法獲取����、非法利用�����,對國家安全���、公共利益或者個人、組織合法權(quán)益造成的危害程度����,對數(shù)據(jù)實行分類分級保護���。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護���。
《數(shù)據(jù)安全法》雖然規(guī)定了數(shù)據(jù)分級保護制度,提到了“重要數(shù)據(jù)”的概念��,但是對于什么是“重要數(shù)據(jù)”���,如何分級保護并沒有詳細規(guī)定��。
2021年11月14日,國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》�,作為行政法規(guī)���,該征求意見稿明確了“重要數(shù)據(jù)”的定義。
《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》第五條將數(shù)據(jù)按照對國家安全����、公共利益或者個人�����、組織合法權(quán)益的影響和重要程度,分為一般數(shù)據(jù)����、重要數(shù)據(jù)�����、核心數(shù)據(jù)�。國家對個人信息和重要數(shù)據(jù)進行重點保護����,對核心數(shù)據(jù)實行嚴(yán)格保護�����。
其中重要數(shù)據(jù)是指一旦遭到篡改�����、破壞、泄露或者非法獲取�、非法利用����,可能危害國家安全�、公共利益的數(shù)據(jù)�����。核心數(shù)據(jù)是指關(guān)系國家安全、國民經(jīng)濟命脈�、重要民生和重大公共利益等的數(shù)據(jù)�。除此之外則屬于一般數(shù)據(jù)��。
《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》列舉了7大類重要數(shù)據(jù),但企業(yè)掌握的數(shù)據(jù)到底是否屬于是重要數(shù)據(jù)�����,2022年《信息安全技術(shù) 重要數(shù)據(jù)識別指南(征求意見稿)》可以作為指引�。
但這兩份法律文件都還是在征求意見階段,最終版本是否會有所變動還需要看征求意見的結(jié)果���。但是對于企業(yè)而言,在數(shù)據(jù)分級保護上應(yīng)當(dāng)秉持從嚴(yán)原則��,重要數(shù)據(jù)并非是靜態(tài)概念,而是動態(tài)變化的�����。
個人信息與敏感個人信息
在數(shù)據(jù)安全領(lǐng)域����,個人信息或者說個人數(shù)據(jù)是其中最特殊的一部分���,有部分?jǐn)?shù)據(jù)分類的概念就依據(jù)數(shù)據(jù)來源的不同���,將數(shù)據(jù)分為個人數(shù)據(jù)和非個人數(shù)據(jù)。
《歐盟通用數(shù)據(jù)保護條例》第4條第1款規(guī)定���,如果根據(jù)該數(shù)據(jù)可以直接或者間接的識別一個人,那么該數(shù)據(jù)就屬于個人數(shù)據(jù)�。中國《個人信息保護法》的定義與此類似,但這種定義都過于簡略���。
關(guān)于個人信息的定義,《民法典》第一千零三十四條則有比較詳細的規(guī)定:個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息���,包括自然人的姓名��、出生日期����、身份證件號碼�、生物識別信息��、住址���、電話號碼��、電子郵箱、健康信息��、行蹤信息等�����。
《最高人民法院�、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條也沿用這個定義。
《個人信息保護法》第二節(jié)在個人信息一般處理規(guī)則之外�����,單獨規(guī)定了敏感個人信息的處理規(guī)則�。
《個人信息保護法》第二十八條規(guī)定:敏感個人信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身���、財產(chǎn)安全受到危害的個人信息,包括生物識別���、宗教信仰�����、特定身份、醫(yī)療健康����、金融賬戶�、行蹤軌跡等信息�,以及不滿十四周歲未成年人的個人信息�����。
敏感個人信息比《民法典》當(dāng)中關(guān)于個人隱私既有重疊,但也有不同之處��。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動����、私密信息���。私密信息自然屬于敏感個人信息,但私密空間與私密活動顯然不是�。
數(shù)據(jù)全生命周期
相關(guān)法律風(fēng)險及責(zé)任
數(shù)據(jù)全生命周期指的是數(shù)據(jù)從生成到銷毀的整個生命周期����,包括數(shù)據(jù)采集���、數(shù)據(jù)存儲、數(shù)據(jù)處理�、數(shù)據(jù)傳輸��、數(shù)據(jù)交換、數(shù)據(jù)銷毀�?�?偨Y(jié)下來其實就是數(shù)據(jù)的三個階段:數(shù)據(jù)收集階段�、數(shù)據(jù)使用階段�、以及數(shù)據(jù)存儲與銷毀階段����。
在不同的階段��,數(shù)據(jù)合規(guī)會面臨不同的風(fēng)險�����,也涉及不同的責(zé)任��。
數(shù)據(jù)收集階段的數(shù)據(jù)合規(guī)風(fēng)險
《數(shù)據(jù)安全法》第三十二條規(guī)定:任何組織、個人收集數(shù)據(jù)��,應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?,不得竊取或者以其他非法方式獲取數(shù)據(jù)�����。
數(shù)據(jù)收集階段是數(shù)據(jù)合規(guī)風(fēng)險管理的起點,合法��、正當(dāng)?shù)厥占瘮?shù)據(jù)也是后續(xù)數(shù)據(jù)使用的基礎(chǔ)。數(shù)據(jù)收集的方式按取得的直接程度一般可分為三種:
第一方數(shù)據(jù):為己方單位自己和消費者����、用戶����、目標(biāo)客群互動產(chǎn)生的數(shù)據(jù)�,如企業(yè)搜集的顧客交易數(shù)據(jù)、追蹤用戶在APP上的瀏覽行為等����;
第二方數(shù)據(jù):通常來自于第一方���,通過共享或采購第一方數(shù)據(jù)��;如平臺企業(yè)開通API接口�。
第三方數(shù)據(jù):提供數(shù)據(jù)的來源單位,并非產(chǎn)出該數(shù)據(jù)的原始者�,該數(shù)據(jù)即為第三方數(shù)據(jù)����。如威科先行等法律數(shù)據(jù)庫���,其數(shù)據(jù)來源來自于國家單位�����。還有一些單位通過網(wǎng)絡(luò)爬蟲技術(shù)獲取的數(shù)據(jù)���,也屬于第三方數(shù)據(jù)����。
數(shù)據(jù)收集階段����,根據(jù)不同的情況��,可能涉及民事責(zé)任����、行政責(zé)任以及刑事責(zé)任�。
1. 民事責(zé)任
在數(shù)據(jù)收集階段���,民事責(zé)任最大的風(fēng)險來源是收集個人信息��。稍有不注意就可能侵犯個人隱私����,需要承擔(dān)相應(yīng)的民事責(zé)任��,包括賠償損失、賠禮道歉���、消除影響等����。
《民法典》第一千零三十五條規(guī)定�,處理個人信息的,應(yīng)當(dāng)遵循合法����、正當(dāng)�����、必要原則�,不得過度處理。
《個人信息保護法》當(dāng)中確立了個人信息處理“知情-同意”原則�,對于敏感個人信息還需要單獨同意�。處理個人信息侵害個人信息權(quán)益造成損害���,個人信息處理者不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任����。
數(shù)據(jù)收集過程當(dāng)中�����,利用網(wǎng)絡(luò)爬蟲技術(shù)收集數(shù)據(jù)����,違反爬蟲規(guī)則,還可能涉及《反不正當(dāng)競爭法》的相關(guān)規(guī)定��。
某點評訴某度一案
(2016)滬73民終242號
上海知識產(chǎn)權(quán)法院認(rèn)為:某點評網(wǎng)上用戶評論信息是漢某公司付出大量資源所獲取的���,且具有很高的經(jīng)濟價值����,這些信息是漢某公司的勞動成果���。某度公司未經(jīng)漢某公司的許可,在其某地圖和某知道產(chǎn)品中進行大量使用����,這種行為本質(zhì)上屬于“未經(jīng)許可使用他人勞動成果”�。
對于非公開數(shù)據(jù)的網(wǎng)絡(luò)抓取�����,極有可能涉及侵犯他人商業(yè)秘密����,進而違反《反不正當(dāng)競爭法》第九條的規(guī)定���。
2. 行政責(zé)任
《網(wǎng)絡(luò)安全法》《個人信息保護法》以及《數(shù)據(jù)安全法》及其配套的法律法規(guī)�����,規(guī)定了詳細的企業(yè)數(shù)據(jù)監(jiān)管措施����,違反這些措施可能需要承擔(dān)相應(yīng)的行政責(zé)任。
如過度收集個人信息��,收集個人信息應(yīng)當(dāng)遵循合法、正當(dāng)��、必要的原則���,不收集與所提供服務(wù)無關(guān)的個人信息。對強制��、過度收集個人信息��,未經(jīng)消費者同意�、違反法律法規(guī)規(guī)定和雙方約定收集、使用個人信息�,發(fā)生或可能發(fā)生信息泄露�、丟失而未采取補救措施,非法出售����、非法向他人提供個人信息等行為,按照《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》等依法予以處罰�����,包括責(zé)令A(yù)pp運營者限期整改����;逾期不改的,公開曝光����;情節(jié)嚴(yán)重的����,依法暫停相關(guān)業(yè)務(wù)����、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照��。
2022年7月21日��,國家互聯(lián)網(wǎng)信息辦公室(以下簡稱網(wǎng)信辦)依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》個人信息保護法》及《行政處罰法》等法律法規(guī)�,對A全球股份有限公司處人民幣80.26億元罰款,對A全球股份有限公司董事長兼CEO程某�����、總裁柳某各處100萬元人民幣罰款����。在國家網(wǎng)信辦披露的A涉及的16項違法事實中��,包括過度收集個人信息����、強制收集敏感個人信息���、App頻繁索權(quán)、未盡個人信息處理告知義務(wù)���、未盡網(wǎng)絡(luò)安全數(shù)據(jù)安全保護義務(wù)等多種情形�����,大部分是在數(shù)據(jù)收集階段出現(xiàn)的��。
3. 刑事責(zé)任
根據(jù)數(shù)據(jù)所表達的信息不同�����,違反相關(guān)國家規(guī)定所涉及的刑事責(zé)任也將不同����。
數(shù)據(jù)收集合規(guī)風(fēng)險產(chǎn)生的刑事責(zé)任比較直接是《刑法》第二百五十三條之一侵犯公民個人信息罪�。違反國家有關(guān)規(guī)定,向他人出售或者提供公民個人信息��,情節(jié)嚴(yán)重的���,處三年以下有期徒刑或者拘役����,并處或者單處罰金;情節(jié)特別嚴(yán)重的����,處三年以上七年以下有期徒刑,并處罰金���。侵犯公民個人信息罪同樣也是單位犯罪��,單位犯此罪����,單位以及直接負責(zé)的主管人員和其他直接責(zé)任人員都將被科以刑罰�。
而除直接侵犯公民個人信息罪之外,在數(shù)據(jù)收集的過程當(dāng)中����,如果采用非法采用爬蟲技術(shù)收集數(shù)據(jù)����,則可能涉嫌違反《刑法》第285條規(guī)定的非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪��。
如果收集到的數(shù)據(jù)涉及國家秘密或者商業(yè)秘密�����,則有可能涉嫌非法獲取國家秘密罪或者侵犯商業(yè)秘密罪���。假設(shè)數(shù)據(jù)是他人擁有著作權(quán)的信息�����,則可能違反侵犯著作權(quán)罪��。數(shù)據(jù)使用階段的數(shù)據(jù)合規(guī)風(fēng)險
數(shù)據(jù)使用階段是指企業(yè)或相關(guān)單位在數(shù)據(jù)收集完成之后�,進行數(shù)據(jù)清理與分析�,用于共享、交易����、決策等等活動。在這一階段的合規(guī)風(fēng)險與法律責(zé)任也包括三個方面����。
1. 民事責(zé)任
數(shù)據(jù)使用階段最典型的違規(guī)行為是“大數(shù)據(jù)殺熟”���。“大數(shù)據(jù)殺熟”指的是互聯(lián)網(wǎng)平臺基于用戶數(shù)據(jù)�����,使得同樣的產(chǎn)品或服務(wù)��,老用戶看到的價格反而比新用戶高出許多的“價格歧視”行為��。
“大數(shù)據(jù)殺熟”可能違反《消費者權(quán)益保護法》第10條規(guī)定的“消費者享有公平交易的權(quán)利”以及第16條第三款中“不得設(shè)定不公平�����、不合理的交易條件”的禁止性規(guī)定�����。根據(jù)《消費者權(quán)益保護法》第40條規(guī)定���,侵犯消費者的合法權(quán)益���,消費者可以向經(jīng)營者銷售者要求賠償。
如果未經(jīng)用戶同意共享或者出售用戶個人信息�,也侵犯了公民個人權(quán)益,需要承擔(dān)相應(yīng)的民事責(zé)任�。
2. 行政責(zé)任
在數(shù)據(jù)使用階段違反《網(wǎng)絡(luò)安全法》《個人信息保護法》以及《數(shù)據(jù)安全法》的相關(guān)監(jiān)管措施,也需要承擔(dān)相應(yīng)的行政責(zé)任����。但是在這三部核心監(jiān)管法律之外,數(shù)據(jù)使用階段也可能實際其他行政責(zé)任����。
如前面提到的“大數(shù)據(jù)殺熟”,如果平臺具備壟斷地位或者市場支配地位����,利用大數(shù)據(jù)優(yōu)勢,可能構(gòu)成《反壟斷法》第17條規(guī)定的濫用市場支配地位的壟斷行為���。根據(jù)《反壟斷法》第47條的規(guī)定�����,經(jīng)營者可能面臨承擔(dān)銷售額百分之十以下罰款的風(fēng)險����。
3. 刑事責(zé)任
在數(shù)據(jù)使用階段���,根據(jù)行為的不同也可能涉及不同的刑事責(zé)任�。如利用算法精準(zhǔn)推薦違法信息廣告,明知廣告發(fā)布者從事網(wǎng)絡(luò)犯罪�,就可能涉及幫助信息網(wǎng)絡(luò)犯罪活動罪。
比如利用網(wǎng)絡(luò)開設(shè)賭場����,涉嫌開設(shè)賭場罪,如果企業(yè)利用獲取的數(shù)據(jù)��,借助算法精準(zhǔn)推送給潛在賭客�,明知是網(wǎng)絡(luò)犯罪還繼續(xù)發(fā)布廣告屬于幫助信息網(wǎng)絡(luò)犯罪活動罪,如果從中直接獲利則可能屬于開設(shè)賭場罪的共犯����。
而如果在數(shù)據(jù)使用階段,因為不公開的信息而獲利�����,則可能涉及內(nèi)幕交易罪����。
實際上由于數(shù)據(jù)概念的范圍極廣,有許多犯罪活動或多或少都涉及到數(shù)據(jù)處理和適用違規(guī)�。數(shù)據(jù)存儲與刪除
數(shù)據(jù)存儲與刪除階段主要涉及存儲地點�����、存儲時間以及刪除義務(wù)。
數(shù)據(jù)存儲合規(guī)重點在于本地化存儲的數(shù)據(jù)���,即哪些數(shù)據(jù)需要存儲在境內(nèi)��。
《網(wǎng)絡(luò)安全法》第三十七條規(guī)定����,關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲��。
2017年國家網(wǎng)信辦發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》當(dāng)中�����,對于本地化存儲的數(shù)據(jù)范圍進行了擴大�����,為“網(wǎng)絡(luò)運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”��。
2019年國家網(wǎng)信辦發(fā)布《個人信息出境安全評估辦法(征求意見稿)》�,實際取代了前一份文件內(nèi)容���,個人信息不再要求境內(nèi)存儲。但這兩份文件都沒有正式實施�,但境內(nèi)存儲依然是數(shù)據(jù)存儲的原則。
《個人信息保護法》則明確了境內(nèi)存儲的原則�,第三十六條和第四十條分別規(guī)定國家機關(guān)處理的個人信息以及關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)��。
《數(shù)據(jù)安全法》第三十一條關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運營者收集和產(chǎn)生的數(shù)據(jù)存儲要求與沿用了《網(wǎng)絡(luò)安全法》的規(guī)定����,但是同時規(guī)定“其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定��?����!睂嶋H等于將境內(nèi)存儲原則擴大到所有“在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)”�。
關(guān)于存儲時間和刪除義務(wù)則是指按照相關(guān)規(guī)定,數(shù)據(jù)有最長存儲期限����,以及公民個人取消同意,要求數(shù)據(jù)處理者刪除數(shù)據(jù),相關(guān)數(shù)據(jù)處理者要及時刪除數(shù)據(jù)��。
《個人信息保護法》第二章詳細規(guī)定了個人在個人信息處理活動中的權(quán)利��,在數(shù)據(jù)存儲和刪除階段��,個人請求查閱�����、復(fù)制其個人信息的�,個人信息處理者應(yīng)當(dāng)及時提供����。個人發(fā)現(xiàn)其個人信息不準(zhǔn)確或者不完整的,有權(quán)請求個人信息處理者更正����、補充。自然人死亡的�,其近親屬為了自身的合法、正當(dāng)利益�����,可以對死者的相關(guān)個人信息行使本章規(guī)定的查閱、復(fù)制��、更正���、刪除等權(quán)利�。數(shù)據(jù)處理者如果不履行義務(wù)則需要承擔(dān)相應(yīng)的民事責(zé)任���。
而同樣的����,數(shù)據(jù)處理者如果違反了國家相關(guān)規(guī)定的存儲原則�����,出境審查要求等等���,也需要承擔(dān)相應(yīng)的行政責(zé)任��。
《數(shù)據(jù)安全法》第二十七條規(guī)定���,開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定���,建立健全全流程數(shù)據(jù)安全管理制度���,組織開展數(shù)據(jù)安全教育培訓(xùn)��,采取相應(yīng)的技術(shù)措施和其他必要措施���,保障數(shù)據(jù)安全。數(shù)據(jù)處理者有義務(wù)按照網(wǎng)絡(luò)安全管理的要求����,確保數(shù)據(jù)存儲環(huán)境的安全,如果拒不履行網(wǎng)絡(luò)安全管理的義務(wù)�����,經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正�,致使違法信息大量傳播的或者用戶信息泄露��,造成嚴(yán)重后果的以及刑事案件證據(jù)滅失����,情節(jié)嚴(yán)重的等情形,則涉嫌拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪��。
如果企業(yè)財務(wù)結(jié)算使用會計電算化系統(tǒng),電子信息是唯一的財務(wù)信息記錄載體�����,不當(dāng)刪除這些數(shù)據(jù)���,則可能涉及隱匿���、故意銷毀會計憑證、會計賬簿����、財務(wù)會計報告罪。
——結(jié) 語——
隨著國家數(shù)據(jù)局的組建���,數(shù)據(jù)安全下的監(jiān)管措施必然會密集出臺�,企業(yè)的數(shù)據(jù)合規(guī)的實操也會越來越明晰����。數(shù)據(jù)監(jiān)管要權(quán)衡安全與發(fā)展的需要。
《數(shù)據(jù)出境安全評估辦法》以及即將實施的《個人信息出境標(biāo)準(zhǔn)合同辦法》��,都表明了國家在數(shù)據(jù)發(fā)展方面的開放態(tài)度����。在這種趨勢之下��,企業(yè)該如何做好合規(guī)體系建設(shè)呢����?
第一�、企業(yè)需要有數(shù)據(jù)合規(guī)的意識,并且在決策層��、管理層以及全體員工層面加強合規(guī)意識�。合規(guī)屬于企業(yè)內(nèi)部治理的重要內(nèi)容,既要有內(nèi)部控制的措施�,但同時更需要內(nèi)心控制的約束。
第二���、企業(yè)應(yīng)該建立相應(yīng)的部門以及制度,及時收集法律以及監(jiān)管措施的變化���,對照要求合規(guī)操作����。如數(shù)據(jù)分級分類制度���、風(fēng)險監(jiān)測和評估制度以及培訓(xùn)制度等
第三����、必要時,企業(yè)在業(yè)務(wù)開展中及時引入數(shù)據(jù)合規(guī)法律顧問等專業(yè)第三方����,利用外部專業(yè)資源,有針對性地根據(jù)不同應(yīng)用場景�,為企業(yè)設(shè)計制定數(shù)據(jù)合規(guī)的方案。
免責(zé)聲明:本文僅為分享���、交流���、學(xué)習(xí)之目的,不代表恒都律師事務(wù)所的法律意見或?qū)Ψ傻慕庾x�,任何組織或個人均不應(yīng)以本文全部或部分內(nèi)容作為決策依據(jù),因此造成的后果將由行為人自行負責(zé)��。
